WMI-фильтры — создание и проверка ­ Дневник ­ Максим Боголепов

WMI-фильтры — создание и проверка

Разрастание компьютерного парка в нашей организации неизбежно повлекло за собой появление всевозможных десктопных операционных систем от «старушки» Microsoft Windows XP до последних Windows 8.1 и Windows 10. Администрирование такой разновидности операционок в доменной сети может вызвать некоторые трудности, если не воспользоваться одним из удобных инструментов управления, предлагаемых Microsoft. К таким средствам для выборочного применения групповых политик в домене относятся wmi-фильтры.

В одной из своих прошлых заметок я упомянул вскользь о возможности применения wmi-фильтров к компьютерам под управлениям Windows XP (смотрите шаг 7-8 указанной статьи). В сети интернет существует довольно много подобных примеров, но прежде чем слепо доверять безвестным авторам и применять их на практике у себя, советую вам прочитать алгоритм самостоятельного создания и проверки правильности данных wmi-фильтров.

Для начала необходимо получить цифровое соответствие той или иной версии операционной системы. Сделать это вы можете командами ver или systeminfo :

Итак, получаем номера последних на сегодняшний момент версий ОС (в порядке возрастания):

• Windows XP SP3 — 5.1.260;
• Windows Server 2003 (R2) SP2 — 5.2.3790;
• Windows Vista SP2 — 6.0.6002;
• Windows Server 2008 SP2 — 6.0.6002;
• Windows 7 SP1 — 6.1.7601;
• Windows Server 2008 R2 SP1 — 6.1.7601;
• Windows 8 — 6.2.9200;
• Windows Server 2012 — 6.2.9200;
• Windows 8.1 — 6.3.9600;
• Windows Server 2012 R2 — 6.3.9600;
• Windows 10 — 10.0.10586.

Цифровое соответствие версии не зависит от разрядности операционной системы, а так же от её редакции (home/professional/enterprise и т.д.).

Теперь приведу некоторые wmi-фильтры, используемые мной в оснастке управления групповой политикой:

notXPandx86 – фильтр для выявления компьютеров, отличных от Windows XP с разрядностью ОС х86:

WindowsXP – фильтр для выявления компьютеров под управлением Windows XP:

×86 – фильтр для выявления компьютеров с ОС x86 разрядности:

×64 – фильтр для выявления компьютеров с ОС x64 разрядности:

Чтобы проверить любой wmi-фильтр, необходимо на домен контроллере (у меня он под управлением Windows Server 2012 R2) открыть Модуль Active Directory для Windows PowerShell, либо нажать Win+R и выполнить команду: %windir%\system32\WindowsPowerShell\v1.0\powershell.exe -noexit -command import-module ActiveDirectory .

Далее наберём следующую последовательность команд:

Первой командой мы в массив $comps заносим имена всех компьютеров домена.
Во второй команде в переменную $query мы прописываем интересующий нас запрос (будущий wmi-фильтр).
Третьей командой мы осуществляем поиск интересующих нас компьютеров, соответствующих нашему запросу (в примере – все компьютеры с ОС Windows XP) (gwmi – сокращённое от Get-WmiObject).

В результате отработки команды вы увидите все интересующие вас компьютеры. Так же в вывод попадут ошибки вида:

Означающие, что компьютер домена, к которому сервер пытается сделать запрос, в настоящее время выключен.

В оснастке Просмотр событий -> Журналы Windows -> Система при этом вы обнаружите ошибки следующего вида:

Так же вы можете увидеть ошибку вида (гораздо реже):

Она означает, что пользователь, от имени которого осуществляется запрос, не имеет прав на компьютер, к которому в данный момент осуществляется запрос.

Чтобы этого избежать, добавьте в запрос ключ -erroraction SilentlyContinue . Третья строка примет вид:

Проверить результат выполнения этой последовательности команд вы сможете следующей образом:

При построении запроса, необходимо точно знать, что в wmi пространстве имён root/CIMV2 в классе, в котором вы планируете осуществляете поиск в новом wmi-фильтре, присутствуют универсальные для различных операционных систем ключи. Проверить это можно задав вопрос к компьютерам с заранее известной ОС:

Теперь несколько наглядных примеров. Мной будет использоваться пример с последовательностью команд. Изменяться будет только сам запрос $query :

— Windows 7 32-bit; — опять же Windows 7 32-bit (в данных запросах OSA rchitecture!=‘64-bit’ идентично OSA rchitecture=‘32-bit’); — ОС старше или равно Windows 7 (рабочая станция, т.к. ProductType=‘1’. Если ProductType=‘3’ – то выберутся серверные ОС); — ОС старше Windows XP и с разрядностью x86; — поиск ОС по маске (до любого необходимого вам знака). в данном случае выберутся 64-х битные ОС Windows 7 и Windows Server 2008 R2. (Поиск операционок по маске очень полезно при работе с Windows 10).

Напоследок небольшой совет. Старайтесь использовать максимально простые фильтры, чтобы потом мучительно долго не разбираться, почему к определённой группе компьютеров не применяется та или иная политика.

Надеюсь, кому-нибудь данный материал окажется полезным. Удачи!

Rating: 4.6/5(5 votes cast)

Wmi фильтр windows 10 x64

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрали, устранение ошибки 0xc0000098. В сегодняшней заметке мы разберем ситуацию, при которой вам нужно применить групповую политику только для определенного типа компьютеров или устройств. Уверен, что данная заметка будет полезна и позволит более тонко управлять свои парком устройств.

Постановка задачи

Предположим, что у меня есть групповая политика, которая должна раздавать WIFI настройки профилей подключения к корпоративной сети. Необходимо данную GPO применить только к ноутбукам, отфильтровав политику именно по ним. Или же обратная ситуация, у вас есть политика, которую вы бы хотели применить только к настольным компьютерам и исключить ноутбуки. Для таких целей есть WMI фильтры, с которыми мы уже знакомились.

В чем преимущество WMI перед фильтрацией по группе

Наверняка у вас может возникнуть вопрос, почему нельзя использовать в фильтре безопасности групповой политики группу безопасности и уже в нее добавлять нужные нам объекты. Все верно можно, но тогда у вас появляется дополнительная работа по постоянному добавлению новых устройств в данную группу безопасности. А вот если вы будите фильтровать группу «Прошедшие проверку (Authenticated Users)» через WMI, то вся ручная работа просто испаряется, так как все компьютеры по умолчанию входят в группу «Прошедшие проверку».

Фильтрация WMI для оборудования

Именно здесь мы можем использовать магию фильтров WMI, чтобы автоматизировать задачу определения типа рабочей станции на основе свойств WMI. Фильтровать оборудование можно по многим критериям:

• Имен устройства- применимо если у вас есть стандарт именования устройств
• Форм фактор оперативной памяти
• Наличие батареи на устройстве

Меня привлекают два последних критерия, так как DNS-имя компьютера могут задать и неправильно, нельзя исключать человеческий фактор, а вот критерии оборудования уже сложно обмануть. Давайте создадим наш с вами WMI фильтр. Для этого откройте оснастку gpmc.msc (Управление групповой политикой). Перейдите в раздел «Фильтры WMI», щелкните по нему правым кликом и выберите пункт «Создать».

У вас откроется окно «Новый фильтр WMI», задаем ему имя и описание. После чего нам нужно добавить условия запроса.

Первым запросом мы будем искать все устройства на которых ФормФактор памяти равен 12.

Что такое FormFactor оперативной памяти вы можете почитать по ссылке (https://ru.wikipedia.org/wiki/DIMM). Напоминаю, что в ноутбуках установлена ОЗУ SO-DIMM с формфактором 12. Посмотреть формфактор можно из командной строки:

А вот запрос для выборки, только по ноутбукам:

Цифра 12 будет означать, что перед вами тип памяти SODIM, если 8, то обычная DIMM на обычном стационарном компьютере.

Сохраняем наш запрос. Нажимаем еще раз кнопку «Добавить» и добавляем еще вот такой запрос, который будет проверять наличие на устройстве батареи:

В приведенном выше запросе мы выбираем BatteryStatus из Win32_Battery. Если BatteryStatus не равен (<>) 0, запрос вернет значение TRUE. В итоге у меня два запроса WMI идут в фильтре, друг за другом.

Выберите объект групповой политики, для которого предназначен этот фильтр WMI.

Для этого в самом низу в пункте «Объект GPO связан со следующим фильтром WMI» и из всплывающего списка выберите созданный ранее фильтр.

На вопрос про изменение фильтра WMI нажмите «Да».

В итоге мы применили к групповой политике наш фильтр с определенными параметрами. Осталось его протестировать, как проверять применение WMI фильтра я рассказывал, советую ознакомиться, там было несколько методов.

Но бегло можно на ноутбуке запустить утилиту Gpresult /SCOPE COMPUTER /Z, и вы увидите, что либо был отказ применения политики из-за WMI фильтра или нет.

Wmi фильтр windows 10 x64

WMI фильтрация в GPO позволяет создавать набор критериев посредством WMI, указывать эти критерии объекту групповой политки и данная политика будет применяться только на те объекты, которые будут соответствовать установленным критериям. WMI работает на всех версиях Windows начиная с Windows 2000 и Windows XP, версионность ОС указана ниже:

• Windows Server 2012 и Windows 8 – 6.2
• Windows Server 2008 R2 и Windows 7 – 6.1
• Windows Server 2008 и Windows Vista – 6.0
• Windows Server 2003 – 5.2
• Windows XP – 5.1
• Windows 2000 – 5.0

Так же для каждой ОС есть свой тип:

• ProductType=1 — Клиент
• ProductType=2 — Контроллер домена
• ProductType=3 — Сервер

Допустим есть необходимость применить GPO только на Windows 8, то будет использоваться фильтр:

или сервера Windows Server 2012:

Примеры WMI фильтров

только Windows 7 x64:

только Windows 7 x32:

на все с ОЗУ больше или равно 1Гб:

или установлен IE 8 и выше:

Применение на практике WMI фильтрации

Для управления GPO необходимо остастка Group Policy Management (GPMC), в Windows 2008 и выше идет поумолчанию, для версий ниже можно оснастку можно загрузить здесь.

Создание WMI фильтра

Здесь все просто, имея к примеру набор фильтров указанных выше, можно содать свой набор и привязать тот или иной фильтр к GPO, создается фильтр в GPMC в контейнере — WMI Filtering — ПКМ — New..

В открывшемся окне необходимо указать имя фильтра и добавить само условие фильтрации нажатием кнопки ADD:

После создания фильтра, привязываем его к политике, выбрав политику и на вкладке Scope в разделе WMI Filtering выбираем фильтр:

Послесловие

На самом деле WMI довольно широкий инструмент, посредством которого можно реализовывать довольно много задач, как например Удаленное удаление программ при помощи WMI.

administra.top

WMI Filtering — механизм позволяющий применить политику GPO к группе компьютеров на основе WMI запроса

Фильтры настраиваются, как и политики, в оснастке Group Policy Management

Примеры запросов WMI для ActiveDirectory

Выбрать только десктопные рабочие станции

Выбрать только ноутбуки

Выбрать устройства на ОС WIN10 x64

Или только ПК по модели материнской платы

Тест запроса

Убедиться в корректности построенного запроса можно с помощью Powershell

Если ПК соответствует построенному запросу, то вернет значения указанного класса, в противном случае никакие значения не будут возвращены.

Удаленные запросы

Удобным будет проверять работу запросов на удаленных компьютерах из консоли PowerShell

Конечно может потребоваться повышения привилегий и активация WinRM на рабочих станциях, так что для Powershell проще проверить запросы локально.

А вот с помощью CMD вы без особых сложностей сможете выполнить удаленный запрос.

Переходим в Интерактивный режим выполнив команду wmic.
Теперь можно вводить команду: